Domäne Blacklisted (CBL,BARRACUDA) Verdacht auf Cutwail-Spambot im Netzwerk Hallo zusammen, ich werde zum ersten mal mit einer solchen Situation konfrontiert. Habe etwas Erfahrung mit dem entfernen von Viren/Rootkits auf PCs aber nicht im gesamten Netzwerk. Situation: Die Domäne über die Emails verschickt werden (mail.xyz.de) wird von mehreren Blacklists seit 2 Tagen gesperrt. Eine Abfrage über mx toolbox ergibt: Listed auf BARRACUDA, CBL, MAILSPIKE-BL, Spamhaus-ZEN, TRUNCATE. Außerdem erhalte ich beim Lookup auf der CBL Seite: IP Address (von mir gelöscht) is listed in the CBL. It appears to be infected with a spam sending trojan, proxy or some other form of botnet. It was last detected at 2013-01-07 12:00 GMT (+/- 30 minutes), approximately 1 days, 6 hours, 29 minutes ago. This IP is infected (or NATting for a computer that is infected) with the cutwail spambot. In other words, it's participating in a botnet. Im Netzwerk läuft ein 2007er Exchange Server mit McAfee Security for Exchange und auf den Clients/Servern McAfee VirusScan Enterprize. Weder der AV noch der McAfee für den Mailserver schlagen in irgendeiner Weise Alarm. Auch die Anzahl der gelöschten/geblockten Spam-Mails in der Exchange-Konsole ist nicht höher als sonst. Wie sollte ich hier vorgehen? Hat jemand Erfahrung mit so etwas oder zumindest einen Plan wie man vorgeht? Ich habe nach Recherchen im Netz mehrere Versuche gestartet den Bot zu entdecken.. leider bin ich da wie es scheint ein wenig hilflos. Hoffe auf Hilfe oder zumindest ein paar Tips! Gruß Cyx |
Hi, ist denn was in der mcafee Quarantäne? du entfernst rootkits von firmen pcs? das einzige was es da gibt, Backup einspielen, alles andere ist zu unsicher. Sind denn Backups vorhanden? die würd ich erst mal einspielen das geht auf jeden fall schneller, als das gesammte Netzwerk zu durchsuchen. wie lange besteht das Problem? |
Zitat:
Zitat:
Zitat:
Zitat:
Danke schonmal Cyx |
Hi, ok, manche machen das nicht so konsequent, deswegen die Frage. da du einen Windows Server nutzt, könnte er auch da sitzen, würde daher mit denen anfangen. wie viele clients sinds denn? kannst du denn auf die mdcafee quarantäne ordner der anderen PC's zugreifen, manche bieten das ja so an, dass du über den Servre alles einsehen kannst, irgendwas auffälliges da? |
Zitat:
Zitat:
5 von heute, 4 von gestern. (Exchange-Server) 4 von gestern (ORA-DB Server) Kann sonst nichts entdecken. Es gibt nur 5 Dateien im ganzen Netz die McAfee angeblich nicht kennt/scannen kann und die gehören zu unserem Kerio (war schon immer so) |
Hi, was man evtl. probieren könnte, währe hitmanpro for network: http://files.surfright.nl/hmp-comman...erence-1_3.pdf hoffe, dies läuft als Beta. Damit könnte man alle PC's im Netzwerk prüfen + Server etc, und dann mal schauen, ob etwas zu finden ist. HitmanPro 3 - SurfRight die Logs packen, und anhängen, erst mal nichts löschen. |
Hallo Markusg, hast du Erfahrungen mit dem Tool? Ich lese gerade die Doku. Danke schon mal für den Tip. Cyx |
Hi mit dem Tool ansich, ja, aber nicht über ein Netzwerk. ist recht gründlich, enthält einige Scanner, kommt recht gut mit allen Arten von schadsoftware zurecht. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 09:07 Uhr. |
Copyright ©2000-2024, Trojaner-Board